我正在嘗試設定 ZyWALL USG 200 防火牆,讓 Windows XP 遠端用戶端(動態 IP 位址)透過 L2TP VPN 連接到工作場所網路。我不想使用證書,一個通用的使用者名稱和密碼就足夠了(而且證書管理太多了)。
我不是 L2TP 專家,更不用說 IPsec 了,所以如果我提出一些瑣碎的問題或犯下明顯的錯誤,請多多包涵。
我已經在 USG200 上配置了我認為應該是 L2TP VPN 的內容,但是當我嘗試從 WinXP 用戶端連接時,我在其日誌中收到以下錯誤:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(請注意,USG200 首先顯示最新的日誌條目)。從 Google 搜尋中,我發現錯誤「未選擇提案」可能是由於 IKE 第 1 階段提案配置中的客戶端和伺服器之間不匹配造成的。從這個文件我假設以下 USG200 配置應該可以工作,但事實並非如此:
我顯然也配置了VPN連線和L2TP VPN,但我想這些設定不相關,至少暫時不相關。不幸的是,我不知道為什麼它不起作用,或者是防火牆還是客戶端應該受到責備。我似乎無法從 Windows 取得任何相關日誌來診斷問題,因此我配置連線的方式如下:
你能幫我理解我做錯了什麼嗎?
答案1
問題不在於 IKE 第 1 階段配置,而是連線設定中的本機策略(我的問題中未顯示)。在我的例子中,本地策略必須是公共介面 IP,但事實並非如此。日誌訊息具有誤導性,但 USG 實際上警告我有關該問題的信息,但我決定修復該警告是第二步,而 IKE 第 1 階段問題是第一個要解決的問題。
這一頁幫助我理解。